2018年3月20日,W3C的Web认证工作组(Web Authentication Working Group)发布Web认证:一个访问公钥凭证的API(Web Authentication:An API for accessing Public Key Credentials Level 1)候选推荐标准(Candidate Recommendation),并征集参考实现(Call for Implementations)。该规范定义了一个API,允许为了对用户身份进行强认证,通过Web应用创建和使用强大的、经过验证的、范围广泛的、基于公钥的凭证。从概念上讲,一个或多个公钥凭证(每个凭证使用范围限定在某一个给定的信任方)由用户代理和Web应用程序共同创建并存储在一个认证器上。为了保护用户隐私,用户代理(如浏览器等)可用来协调这些对公钥凭证的访问。认证器(authenticator)负责确保在未经用户许可的情况下不进行任何操作。认证器可以通过认证(attestation)功能向信任(依赖)方提供属性的加密证明。该规范还描述了与WebAuthn兼容的认证器功能模型,包括其签名和认证功能。
更多内容,请参阅英文原文。
评论已关闭